Множественные уязвимости в Microsoft Office Web компонентах
| Дата публикации: | 13.07.2009 |
| Дата изменения: | 12.08.2009 |
| Всего просмотров: | 6407 |
| Опасность: | Критическая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Office XP
Microsoft Office 2003 Standard Edition Microsoft Office 2003 Student and Teacher Edition Microsoft Office 2003 Professional Edition Microsoft Office 2003 Small Business Edition Microsoft ISA Server 2004 Microsoft ISA Server 2006 Microsoft Office Small Business Accounting 2006 Microsoft Office 2003 Web Components Microsoft ISA Server 2006 Supportability Update Microsoft Office XP Web Components Microsoft BizTalk Server 2002 Office Web Components 2000 Microsoft Visual Studio .NET 2003 |
| Уязвимые версии: Microsoft Office XP Microsoft Office 2003 Microsoft Internet Security and Acceleration Server 2004 Microsoft Internet Security and Acceleration Server 2006 Microsoft Office Small Business Accounting 2006 Описание: 1. Уязвимость существует из-за ошибки проверки границ данных в методе msDataSourceObject() в Office Web Components Spreadsheet ActiveX компоненте (OWC 10 и OWC11). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе. Примечание: уязвимости активно эксплуатируется в настоящее время. 2. Уязвимость существует из-за ошибки при загрузке и выгрузке OWC10 ActiveX компонента. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки в OWC10.Spreadsheet ActiveX компоненте, относящейся к методу BorderAround(). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за ошибки проверки границ данных в Office Web Components ActiveX компоненте. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. URL производителя: www.microsoft.com Решение: Установите испраление с сайта производителя.
Microsoft Office XP Service Pack 3: Журнал изменений:
14.07.2009 |
|
| Ссылки: |
OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit #2 OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit #3 (meta) ZDI-09-054: Microsoft Office OWC10.Spreadsheet ActiveX msDataSourceObject() Heap Corruption Vulnerability ZDI-09-055: Microsoft Office OWC10 ActiveX Control Loading and Unloading Heap Corruption Vulnerability ZDI-09-056: Microsoft Office OWC10.Spreadsheet ActiveX BorderAround() Heap Corruption Vulnerability (MS09-043) Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638) |
|
|
http://www.microsoft.com/technet/security/advisory/973472.mspx |